“Nog een dag, nog een trucje.” Elke seconde, elke seconde zijn er nieuwe pogingen van cybercriminelen om websites, diensten, bedrijven of consumenten te hacken. Volgens Beyond Identity, een leverancier van oplossingen voor identiteitsbeheer zonder wachtwoord, is het risico op wachtwoordlekken natuurlijk groter, waardoor cybercriminelen gemakkelijker toegang krijgen tot bedrijfsgegevens. Vorige maand meldde Cyber News dat een bestand met de naam RockYou2021.txt op een populair cyberforum was geplaatst. Dit is een verzameling van 8,4 miljard wachtwoorden die over de hele wereld zijn gelekt. Ook in Nederland komen wachtwoordlekken veel voor. Is het wachtwoord nog sterk? Wachtwoorden bestaan al lang als beveiligingsmaatregel, maar helaas werkt deze maatregel niet meer. Volgens het Verizon Data Breach Incident Report zitten gestolen wachtwoorden achter 81% van alle aanvallen. Volgens een Google-enquête staat ten minste 65% van alle respondenten toe dat meerdere, zo niet alle, accounts hetzelfde wachtwoord gebruiken. De combinatie van slecht wachtwoordgebruik en steeds geavanceerdere hackers verhoogt het risico dat wachtwoorden en hackers worden gelekt. Hoe je het ook bekijkt, wachtwoorden zijn altijd een veiligheidsrisico. Hoe meer medewerkers, en dus de organisatie, hoe meer wachtwoorden je hebt, hoe groter de kans dat je onveilige of gelekte wachtwoorden hebt. Het gebruik van wachtwoorden is een verouderde beveiligingstechniek.
U kunt een werknemer echter niet verwijten dat hij een onjuist wachtwoord gebruikt. Ze moeten wachtwoorden onthouden voor tientallen gebruikersaccounts. In de loop der jaren zijn er verschillende alternatieve wachtwoorden ontwikkeld. Algemene toegangskaarten (CAC), smartcards en biometrie, wachtwoorden worden nog steeds gebruikt als back-up voor deze methoden. Zolang uw organisatie wachtwoorden implementeert, blijft ze kwetsbaar voor op wachtwoorden gebaseerde bedreigingen zoals phishing-aanvallen en SIM-uitwisselingen.
Vooruitstrevende organisaties gebruiken al wachtwoordloze oplossingen, maar nog niet iedereen heeft ze veranderd. Tot op heden moeten de volgende maatregelen worden toegepast:
1) Google-wachtwoordverificatie
Gebruikt uw organisatie Google om zakelijke e-mail te beheren? Dan heb je ook toegang tot de wachtwoordmanager van Google. En het omvat wachtwoordverificatie. Wachtwoordcontrole vergelijkt de inloggegevens van een gebruiker met een database van bekende datalekken en enkele darkwebcomponenten die Google actief controleert. Alle activiteiten vinden plaats op uw lokale apparaat, dus de resultaten van deze controles kunnen niet elders worden bekeken of opgeslagen. Als de gebruiker inlogt met een onveilige gebruikersnaam en wachtwoord, verschijnt er automatisch een waarschuwing op het scherm. Wachtwoordbeheer biedt echter geen bedrijfsbrede beheermogelijkheden. Vraag uw medewerkers daarom om verantwoordelijkheid te nemen voor de beveiliging van uw Google-account.
2) Database met informatie over gegevensschendingen
Een andere optie is om de inloggegevens van werknemers te vergelijken met een database met informatie over beveiligingsproblemen. De bekendste daarvan is Have I been Pwned. Voor kleinere organisaties kunt u uw e-mailadres handmatig invoeren. Grote bedrijven worden aangemoedigd om API’s (betaalde functies) te gebruiken om een groot aantal inloggegevens te valideren. Elke organisatie kan gratis gebruikmaken van de domeinzoek- en rapportagemogelijkheden van Have I been Pwned.
3) Controletool voor wachtwoordlekkage:
Er zijn verschillende betaalde, gratis of freemium-tools die u kunnen helpen bepalen of uw bedrijf betrokken is bij een bekend datalek. Veel van deze tools, zoals LastPass, bieden deze functionaliteit naast wachtwoordbeheerservices. De LastPass-tool vergelijkt bijvoorbeeld een lijst met e-mailadressen met een database met datalekken. U ziet ook een lijst met sites die zijn getroffen door het datalek sinds u uw wachtwoord voor het laatst hebt gewijzigd. Deze lijst is getiteld “Inbreuk” en geeft, hoewel niet altijd, aan dat uw inloggegevens mogelijk betrokken zijn bij het gegevenslek.
4) Beveiligingsadviseurs en externe verkopers
Als jij en je team niet de tijd en middelen hebben om je e-mailadres aan een database te koppelen of andere tools te gebruiken, raden we je aan deze belangrijke validatie uit te besteden. Sommige consultants en providers integreren een tool die wachtwoorden vooraf vergrendelt met het aanmeldingsproces als het wachtwoord zwak lijkt te zijn vanwege eerdere datalekken.
5) Betrek het personeel bij het proces
De beste manier om hergebruik van wachtwoorden te voorkomen en beveiligingsincidenten te verminderen, is het gebruik van wachtwoorden te vermijden. Als dit niet direct een keuze is, bespreek je het wachtwoord best zelf met de eindgebruiker. Stimuleer samen met hen de behoefte aan onberispelijke wachtwoordhygiëne. Dat is geen overbodige luxe, aangezien 45% van alle medewerkers zelfs het hergebruik van wachtwoorden niet als een serieus probleem beschouwt. Moedig uw team aan om sites zoals Have I been Pwned te controleren om te zien of hun e-mailadressen en wachtwoorden (zowel zakelijk als persoonlijk) zijn gelekt. Zo kunnen ze een goed beeld krijgen van de ernst van het probleem. Het ondersteunen van wachtwoordhygiëne tussen medewerkers is belangrijk voor de netwerkbeveiliging bij het delen van inloggegevens.